พบช่องโหว่บน NPM แนะผู้ใช้งานเร่งอัปเดต 

21 ธ.ค.62 (20:48 น.)
เปิดอ่าน 155 ครั้ง
มีประกาศแพตช์ใหม่จาก NPM ว่าพบช่องโหว่ที่ทำให้คนร้ายสามารถเข้าถึง Path ที่ไม่สมควรได้


Credit: ShutterStock.com
NPM เป็นเครื่องมือที่ถูกใช้เพื่อบริหารจัดการแพ็กเกจสำหรับภาษา JavaScript โดยเฉพาะสำหรับ Node.js ที่โค้ดถูกรันนอกบราวน์เซอร์ซึ่งนักพัฒนาจะใช้ cli เข้ามาใช้งาน npm ทั้งนี้มีการพบช่องโหว่เกิดขึ้นกับ NPM เวอร์ชันก่อน 6.13.3 และ Yarn เวอร์ชันก่อน 1.21.1 ซึ่งปกติแล้วหากผู้ใช้งานเรียก include แพ็กเกจด้วย package.json จะมีกระบวนการ Map ชื่อคำสั่งไปยังไฟล์ภายใน ./node_modules/.bin/ และตามด้วยโพฟลเดอร์ของนักพัฒนาที่ทำให้ npm สามารถเขียนทับเป็นเวอร์ชันใหม่ได้

อย่างไรก็ตามช่องโหว่ทำให้แพ็กเกจที่ถูกติดตั้งระดับ Global สามารถเข้าไปเขียนทับไฟล์เป้าหมายใดๆ ภายใต้ /usr/local/bin ได้ นอกจากนี้ในส่วนของผู้ค้นพบยังเผยถึงช่องโหว่บน Bin-links เวอร์ชันก่อน 1.1.5 ว่าสามารถใช้ลอบเขียนไฟล์ได้ (Advisory) โดยช่องโหว่จากการเปิดเผยในครั้งนี้มีหมายเลขอ้างอิงคือ CVE-2019-16775, CVE-2019-16776 และ CVE-2019-16777 ผู้ใช้งานสามารถอัปเดตอุดช่องโหว่ได้แล้วในเวอร์ชัน 6.13.4 ครับ

ที่มา :  https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-cli และ  https://nakedsecurity.sophos.com/2019/12/16/npm-patches-two-serious-bugs/ , https://www.techtalkthai.com/found-couple-npm-vulnerabilities-arbitary-access-path/

Cyber Domain - Royal Thai Air Force

ล่าสุด

นักพัฒนาซอฟต์แวร์พบช่องโหว่ในระบบ McDonald สั่งอาหารได้ฟรีทุกครั้ง
24 ก.พ.63(2 วัน) อ่าน 12 ครั้ง
องค์การอนามัยโลกเตือนระวังแคมเปญ Phishing เรื่องไวรัสโคโรน่า
24 ก.พ.63(2 วัน) อ่าน 19 ครั้ง
ระวังมัลแวร์ Emotet ขโมยรหัสธนาคารออนไลน์ แพร่กระจายผ่าน Wi-Fi
17 ก.พ.63(8 วัน) อ่าน 67 ครั้ง
Microsoft เตือนผู้ดูแล Exchange เร่งปิด SMBv1 ป้องกันมัลแวร์
14 ก.พ.63(12 วัน) อ่าน 57 ครั้ง
สหรัฐฯ เข้าจับแฮ็กเกอร์ชาวจีนกรณีแฮ็ก Equifax
11 ก.พ.63(15 วัน) อ่าน 25 ครั้ง
พบช่องโหว่ WhatsApp สามารถใช้เข้าถึงไฟล์ของระบบได้
8 ก.พ.63(18 วัน) อ่าน 18 ครั้ง
พบ Backdoor ในชิป HiSilicon คาดอุปกรณ์ DVR/NVR จำนวนมากตกอยู่ในความเสี่ยง
8 ก.พ.63(18 วัน) อ่าน 15 ครั้ง
วิธีการป้องกันภัยจากฟิชชิ่ง (Phishing)
6 ก.พ.63(20 วัน) อ่าน 85 ครั้ง
ประกาศบัญชีรายชื่อผู้ผ่านการเลือกสรรพนักงานราชการทั่วไป
5 ก.พ.63(21 วัน) อ่าน 173 ครั้ง
บริษัทความปลอดภัยไซเบอร์ตรวจสอบระบบไอทีสนามบิน 100 แห่ง มีเพียง 3 แห่งที่ผ่านมาตรฐาน
4 ก.พ.63(21 วัน) อ่าน 18 ครั้ง
ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี
4 ก.พ.63(21 วัน) อ่าน 10 ครั้ง
พบช่องโหว่บน Microsoft Azure Stack เสี่ยงถูกแฮ็กเกอร์เข้าควบคุม Cloud Servers บนนั้นได้
4 ก.พ.63(21 วัน) อ่าน 10 ครั้ง
ระวังภัย พบมัลแวร์แพร่กระจายผ่านอีเมลโดยอ้างชื่อไวรัสโคโรน่า
3 ก.พ.63(23 วัน) อ่าน 15 ครั้ง
พบช่องโหว่บน Plugin Code Snippets บน WordPress แนะผู้ใช้ควรอัปเดต
30 ม.ค.63(27 วัน) อ่าน 16 ครั้ง
เผยกลเม็ด Phishing ใหม่ของคนร้ายกับบริการ Citibank
30 ม.ค.63(27 วัน) อ่าน 23 ครั้ง